Comment décrypter SSL en utilisant Chrome ou Firefox et Wireshark dans Windows

100807

Created On 10/10/20 05:11 AM - Last Modified 11/01/21 21:11 PM

Objective

Capturez SSL les clés de session à partir de la navigation web cryptée ou d’autres applications Web dans Chrome ou Firefox et utilisez-les pour décrypter les captures de paquets dans Wireshark.

Environment

Windows 7 ou Windows 10
Chrome 85 ou plus nouveau, ou Firefox 81 ou plus nouveau
Wireshark 3.2.7 ou plus nouveau
SSL/ TLS sessions à RSA l’aide, DHE ou ECDHE algorithmes d’échange de clés.

Procedure

1. Fermez Chrome ou Firefox complètement. Assurez-vous que toutes les instances sont fermées.

2. Ouvrez le menu Démarrer, et tapez env, sélectionnez « Modifier les variables de l’environnement pour votre compte ».
Ouvert : Modifiez les variables d’environnement de votre compte.

Ouvert : Modifiez les variables d’environnement de votre compte.

3. Dans la fenêtre « Variables environnement », sous « Variables utilisateur pour %user% », cliquez sur « Nouveau... ».

4. Dans la fenêtre « Nouvelle variable utilisateur » entrez:
SSLKEYLOGFILE
Nom variable: Valeur variable: % USERPROFILE %\Desktop\sslkey.log
$Nom variable: SSLKEYLOGFILE , Valeur variable: % USERPROFILE %\Desktop\sslkey.log$

5. Cliquez OK pour accepter l’entrée « Nouvelle variable utilisateur » et OK pour accepter et fermer la nouvelle fenêtre « Variable environnement ».

6. Lancez Wireshark et démarrez la capture de paquets.

7. Lancez Chrome ou Firefox, et vérifiez que le fichier sslkey.log est créé.
Lancez Chrome ou Firefox et vérifiez que le fichier .log sslkey est créé.

Lancez Chrome ou Firefox et vérifiez que le fichier .log sslkey est créé.

8. Parcourez le site Web ou l’application Web qui est testé et exécutez toutes les actions qui doivent être capturées.

Dans notre exemple, nous téléchargeons le fichier de test de logiciels malveillants à partir EICAR du site sécurisé.
Exemple : Téléchargez EICAR le fichier de test à partir de leur site sécurisé (https).

Exemple : Téléchargez EICAR le fichier de test à partir de leur site sécurisé (https).

9. Vérifiez que la capture du paquet pour l’activité a été correctement collectée et arrêtez la capture.
Capture cryptée collectée.

10. Dans Wireshark aller à [ Modifier > préférences > protocoles > TLS ]. Sous (Pré)-Master-Secret nom de fichier journal, sélectionnez le fichier sslkey.log créé à l’étape 7, et cliquez sur OK .
Ajouter sslkey.log au (Pré)-Master-Secret sous les TLS préférences du protocole.

Ajouter sslkey.log au (Pré)-Master-Secret sous les TLS préférences du protocole.

11. La capture de paquets décryptée s’affiche dans Wireshark.
La capture décryptée est présentée.

12. (Facultatif) Suivez le HTTP flux pour visualiser le contenu décrypté.
Suivez stream HTTP décrypté.

Additional Information

Il n’existe actuellement aucun moyen d’exporter les captures de paquets déchiffrées de Wireshark PCAP en format, cependant, il existe trois options:

Partagez le PCAP fichier avec son fichier sslkey.log correspondant au destinataire prévu.
PDU Exportation des données décryptées :

Pour exporter les PDU décryptés, passez à File > Export PDU 's to File > Layer OSI 4, ou OSI Layer 7.
Enregistrez la sortie résultante dans un PCAPNG fichier.

Suivez le flux HTTP décrypté (étape 12), sélectionnez « Afficher et enregistrer les données comme »: ASCII , puis sélectionnez « Enregistrer comme ... ». Cela permettra d’enregistrer la sortie de flux imprimé dans un fichier texte clair.

Comment décrypter SSL en utilisant Chrome ou Firefox et Wireshark dans Windows

Objective

Environment

Procedure

Additional Information

Other users also viewed: